Asosiy takliflar
- FIDO alyansi parolsiz autentifikatsiya standartining asosiy oqimga aylanishiga toʻsqinlik qilayotgan kamchiliklarni tahlil qiluvchi oq qogʻozni chop etdi.
- Parolsiz autentifikatsiya mexanizmlari parollarning oʻrnini bosa olmadi, chunki ular noqulay.
-
U smartfonlardan rouming xavfsizlik kalitlari sifatida foydalanishni taklif qiladi.
Kuchli parollarni yaratish va boshqarish noqulay, ammo autentifikatsiya jarayoniga qoʻshimcha qadamlar va qurilmalar qoʻshish yanada katta bosh ogʻrigʻidir.
Bu Fast ID Onlayn Alyansi (FIDO) tomonidan chop etilgan oq qog'ozning xulosasi bo'lib, unda parolsiz autentifikatsiya mexanizmlarining asosiy oqimga aylanishining oldini olishda foydalanish imkoniyatlari bilan bog'liq muammolar ayblanadi. Biroq, alyans muammoni bir marta va butunlay hal qilish va FIDO autentifikatsiya standartini parollar kabi hamma joyda qo'llash uchun yechim topdi.
"FIDO barcha dastlabki taxminlardan oshib ketdi", - dedi LoginID mahsulot bo'yicha vitse-prezidenti Bill Leddi, oq qog'ozni ko'rib chiqqandan keyin Lifewire'ga elektron pochta orqali. "[Bu] haqiqatan ham barcha autentifikatsiya [muammolarini] hal qilishga yaqin, lekin biroz ko'proq kerak."
Parollar bekor qilinmoqda
Leddy parollar foydalanish muddatidan oshganiga ishonadi. U kuchsiz variantlarni uzoq vaqt surish orqali odamlarni muvaffaqiyatsizlikka uchraganlikda xavfsizlik sohasini ayblaydi.
"Parollar endi 60 yoshda, lekin koʻpchilik hisoblar uchun asosiy autentifikatsiya opsiyasi boʻlib qolmoqda. Isteʼmolchilar juda koʻp turli hisoblarga ega va ularning har biri uchun noyob parolni eslab qolishlari kutiladi. Bu amaliy yechim emas ", dedi Leddi. Uning qoʻshimcha qilishicha, veb-saytlarni osongina klonlash mumkin boʻlgan bugungi internetda xavfsizlik sanoatining vazifasi odamlarni hisob buzilishining oldini olish uchun kerakli vositalar bilan jihozlashdan iborat.
Parollarga bo'lgan ishonchni kamaytirish uchun yaratilgan ochiq sanoat assotsiatsiyasi bo'lgan FIDO alyansi bu muammo ustida qariyb o'n yildan beri ishlamoqda. U FIDO autentifikatsiya standartini yaratdi, ammo u o'ziga jalb eta olmadi. Raqamli qog'ozda alyans nihoyat jumboqning etishmayotgan qismini aniqladi va uni yengish strategiyasini belgilab oldi, deb o'ylaydi.
Alyans ma'lumotlariga ko'ra, FIDOning joriy parolsiz autentifikatsiya mexanizmi foydalanishga yaroqlilik bilan bog'liq muammolarga ega bo'lib, uni keng qo'llashga to'sqinlik qilgan.
"[Biz] jismoniy xavfsizlik kalitlarining noqulayligi (sotib olish, roʻyxatdan oʻtkazish, olib yurish, qayta tiklash) va platforma autentifikatorlari bilan bogʻliq isteʼmolchilar duch keladigan qiyinchiliklar (masalan, isteʼmolchi makonida) cheklangan qabul qilinishini kuzatdik.g., har bir yangi qurilmani qayta ro'yxatdan o'tkazish kerak; yo'qolgan yoki o'g'irlangan qurilmalarni tiklashning oson yo'llari yo'q) ikkinchi omil sifatida ", deb ta'kidlangan gazeta.
Muammolarni bartaraf etish uchun ma'lumotnomada smartfonlarimizdan rouming autentifikatorlari yoki portativ xavfsizlik kalitlari sifatida foydalanish taklif etiladi.
Foydalanuvchining rouming autentifikatori sifatidagi qurilmasi ajoyib foydalanuvchi tajribasi va agar to'g'ri bajarilgan bo'lsa, yarim ishonchli qurilmadagi parollarga qaraganda ancha xavfsizroq. Yangi smartfonlar FIDOni qo'llab-quvvatlaydi va iste'molchilar kamdan-kam hollarda o'z telefonlaridan uzoqda bo'lishadi. - yaxshi variant, - dedi Leddi.
Oldinga yo'l
Ammo maʼlumotnomada aytilishicha, smartfonlar portativ xavfsizlik kalitlari sifatida muvaffaqiyatli boʻlishi uchun FIDO odamlar oʻz mobil qurilmalarini qoʻshish yoki oʻrtasida almashish uchun silliq jarayonni ishlab chiqishi kerak.
Agar yangi telefonni oʻrnatish yoki yangisiga oʻtish kabi muhim vazifalarni bajarish jarayoni oddiy boʻlmasa, odamlar bu gʻoyani noqulay deb eʼtirof etishlari mumkin. Bunga yo'l qo'ymaslik uchun maqola ko'p qurilmali FIDO hisob ma'lumotlari yoki "pasport kalitlari" deb nomlanadigan yangi texnikani joriy qilishni taklif qilmoqda.
"Ko'p qurilmali "parol" hisob ma'lumotlari FIDO atrofida uzoq vaqtdan beri davom etayotgan savolga javob beradi. Agar eski qurilmamda 50 ta domenga tegishli hisob ma'lumotlarini ro'yxatdan o'tkazgan bo'lsam va keyin yangi qurilmaga ega bo'lsam, yangi qurilmaga qanday o'tish kerakligi haqida savol tug'iladi. Hech kim yangi FIDO hisob maʼlumotlarini qayta bogʻlash uchun 50 ta turli xizmatlar uchun hisobni tiklashdan oʻtishni istamaydi”, deb tushuntirdi Leddi.
FIDOning ta'kidlashicha, kalitlar biz bir qurilmadan ikkinchisiga o'tganimizda, FIDO hisob ma'lumotlarimiz allaqachon bizni kutib turishini ta'minlash orqali bu vaziyatdan butunlay qochishga yordam beradi. Albatta, maqola kontseptualdir va Leddi bunday mexanizmni amalga oshirishdan ko'ra taklif qilish osonroq deb hisoblaydi.
"Agar o'tish kalitlari yechimlari sotuvchiga xos bo'lsa, iste'molchi qurilma ishlab chiqaruvchilari yoki hatto turli xil (MacBook va Android telefonlari) qurilmalar to'plami o'rtasida almashishi mumkin bo'lmasa, achinarli bo'lardi", - deb ogohlantirdi Leddi.
Biroq, u Apple, Meta, Google, PayPal, Wells Fargo, American Express va Bank of America kabi ogʻir vaznli kompaniyalarni oʻz ichiga olgan FIDO alyansi oʻz aʼzolari orasida yechimlar topishiga ishonadi. t nafaqat universal, balki hujumlarga qarshi ham sinchkovlik bilan tekshirilgan.
FIDO koʻp qurilmali FIDO hisob maʼlumotlari parollar uchun tobutdagi soʻnggi tirnoq boʻlishiga ishonadi. "Ushbu yangi imkoniyatlarni joriy qilish orqali biz veb-saytlar va ilovalarga chinakam parolsiz variantni taklif qilish imkoniyatini berishga umid qilamiz; hech qanday parol yoki bir martalik parollar (OTP) talab qilinmaydi ", dedi alyans.
